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PROCEDE DE REALISATION D'UNE TRANSACTION 



ELEC TRON I QUE UTILISANT PLUSIEURS SIGNATURES 



DESCRIPTION 
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Domaine technique 

La presente invention a pour objet un procede de 
realisation d'une transaction electronique utilisant 
plusieurs signatures. 



transactions (teleachat, telepaiement , acces a un 
service, etc..) s'effectuant a l'aide de moyens 
electroniques , comme les cartes a puces par exemple. 
L' invention trouve une application particuliere dans le 
15 porte-monnaie electronique. 

Etat de la technique anterieure 



2 0 cryptographiques . Le processeur de la puce calcule et 

emet une signature numerique de la transaction qui 
constitue une preuve de 1' accord de la partie emettrice 
de la signature sur cette transaction. Cette preuve est 
specif ique a l'organisme emetteur gestionnaire de 
25 1 ' application . Cette signature numerique est le 
resultat d'un calcul portant sur les donnees 
identifiant 1 'emetteur de la carte, le terminal, le 
numero de la transaction, le montant de la transaction 
et eventuellement le numero de compte du porteur. 

3 0 Les donnees sont transmises a 1' emetteur de la 

carte qui effectue les traitements appropries tels que 
1' audit de la transaction par verification de la 
signature, mise en recouvrement , debit du compte 



10 



Elle trouve une application dans toutes les 



carte 



La securite des transactions electroniques par 
i a puce repose sur des techniques 
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client, credit du compte du fournisseur de services, 
etc ... 

Dans une des techniques anterieures decrites dans 
FR-A-2 748 591, la carte produit deux signatures, la 
5 premiere dite "longue" (algorithine a cle publique) et 
destinee au fournisseur de services, et la seconde, 
dite "courte" (algorithme a cle secrete) encapsulee 
dans la premiere est destinee a I'emetteur. Le 
prestataire de services verifie la signature longue, et 

10 si le resultat est correct, rend le service commande et 
stocke la signature courte. II transmet a I'emetteur, 
en fin de journee, les signatures courtes stockees et 
les donnees correspondantes . 

Ce schema, s'il a l'avantage d'etre simple, pose 

15 cependant quelques problemes lorsque les paiements sont 
realises au moyen d ■ un . porte-monnaie electronique (PME 
en abrege) . II est, en effet, parfois necessaire 
d'introduire un ou plusieurs acteurs intermediaires 
entre les trois parties deja citees a savoir le 

20 porteur, le prestataire de services et I'emetteur, 
selon les besoins de concentration effectuant des 
cumuls de valeur electronique. 

Une solution consiste a a j outer des moyens 
intermediaires appeles SAM ("Secure Application 

25 Modules) verifiant l'une des deux signatures produites 
par la carte et cumulant la valeur electronique regue. 

Si les SAM intermediaires etaient capables 
d'effectuer la meme verification que celle faite par 
I'emetteur, la securite serait degradee. En effet, si 

30 1' algorithme cryptographique utilise pour produire la 
signature destinee a I'emetteur de la carte etait a cle 
secrete, la cle de I'emetteur serait placee a des 
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niveaux de responsabilite inferieurs vis-a-vis de la 
■ garantie de la monnaie electrique. 

Si la deuxieme signature destinee au fournisseur 
de services etait produite par un algorithme a cle 
5 publique, alors les SAM ' intermediaires seraient, tout 
comme le fournisseur de services, en. mesure 
d ' authentif ier n'importe qu'elle transaction emanant 
d'un PME. Toutefois, dans ce cas de figure, les 
signatures seraierit de taille nettement plus longues et 
10 done plus couteuses a transferer, a stocker et a 
verifier . 

La pr£sente invention a justement pour but de 
remedier a ces inconvenients . 

15 

Expose de 1 1 invention 

A cette fin, 1' invention propose un procede 
utilisant plusieurs signatures, avec une chaine 
d * encapsulations-decapsulations . On suppose qu'on est 
20 en presence d'un reseau de communications (par exemple 
un reseau telephonique) reliant des entites 
susceptibles de communiquer entre elles, avec la 
contrainte qu'il n'existe pas de canal de communication 
directe entre deux entites souhaitant communiquer et 
25 que les canaux de communication existants peuvent etre 
unidirectionnels . 

Une transaction fait intervenir un sous-ensemble 
d' entites appelees aussi "acteurs" , concourant a des 
titres divers a la realisation de la transaction. En 
30 pratique, ces entites ou acteurs sont constitutes par 
des moyens physiques .: terminal, carte, 

microprocesseur , etc. . . 
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Au cours de la transaction : 

■ une entite i dispose des moyens necessaires (E^) 
au calcul des crypto grammes destines a une 
entite j, et/ou a la verification de 

5 cryptogrammes en provenance de j , 

■ et une entite j dispose egalement des moyens 
(Eji) corresponants, 

ces moyens Eij et Eji ayant 6te obtenus au cours de la 
phase dite d ' initialisation (effectuee prealablement 
10 et/ou parallelement a la transaction elle-meme) . . On 
dira alors que ces deux entites partagent un systeme de 
cles note Kij=Kji={ ( i , Eij ) , ( j , Eji) } - Par exemple : 

■dans le cas d'un systeme a cles secretes, on a : 
Eij=Eji=Sij ; 

15 "dans le cas d'un systeme a cles publiques, on 

a : 

- pour une communication monodirectionnelle 
E ij =(S i/ P i ) , et Ej=(Pi) , 

- pour une communication bidirectionnelle 
20 Eij^tSi.Pi, Pj), et E ji =(S j ,P i/ P j ) . 

Avec cette definition, le systeme de cles est une 
notion symetrique par rapport a i et j . En revanche, si 
l'on note Kij (m) le cryptogramme d'un message m envoye 
par i a j, on a Kij (m)^Kji (m) . 

25 Dans ces conditions et sous ces hypotheses, une 

entite source de message "encapsule" (c * est-a-dire 
renferme) un message dans une suite de cryptogrammes 
portant sur des cryptogrammes, eux-memes portant sur 
des cryptogrammes, etc... Tous ces cryptogrammes sont 

30 calcules a I'aide de systemes de cles que 1' entite 
source partage respectivement avec chacune des entites 
intermediaires situees sur le chemin de la 
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communication. Le cryptogramme global est emis et 
' chaque entite intermediaire "decapsule" (c 1 est-a-dire 
extrait) le cryptogramme qu'elle regoit avec le systeme 
de cles qu'elle partage avec 1' entite source, et 
5 transmet le cryptogramme' restant a 1* entite suivante. 
De proche en proche, le premier cryptogramme calcule 
parvient a 1' entite destinataire qui extrait le message 
qui lui est destine a l'aide du systeme de cles 
approprie. 

10 Selon les besoins de la transaction et les 

protocoles utilises, les cryptogrammes calcules peuvent 
servir a 1 1 authentif ication des acteurs, a 
1 ' authentif ication de l'origine des messages, ou a la 
non-repudiation (a 1' emission ou a la reception) de ces 
15 messages. 

Ce proced6 suppose 1' existence d'un systeme de 
gestion des systemes de cles (qui englobe la 
generation, la distribution et/ou 1 ' echange de cles 
necessaires a 1 ' etablissement de communications sures 
20 avec les autres acteurs), mis en oeuvre au cours d'une 
phase dite d 1 initialisation . Ce systeme de gestion de 
cles peut etre quelconque et par exemple consister en 
une infrastructure a cle publique, avec un protocole de 
transport de cles associe. 
25 Parmi les entites en presence, certaines peuvent 

jouer le r61e de tiers de confiance. Par exemple : 

■dans le cas d'un systeme a cle publique, il peut 

s f agir d'une autorite de certification, 
■dans le cas d'un systeme a cle secrete, il peut 
30 s'agir d'une entite maitre, partageant une cle 

secrete avec chacune des autres entites, ou 
certaines d'entre elles seulement. 
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Une entite peut participer a une transaction a 
divers titres comme par exemple : 

1. assurer un relais de 1 ' information : une entite 
joue le role de relais intermediaire et pallie 

5 ainsi 1' absence de canal de communication reliant 

directement un expediteur et un destinataire d'un 
message necessaire a la transaction ; 

2. assurer une desynchronisation : une entite joue 
le role de cache intermediaire de messages pour 

10 le compte d'une autre entite, destinataire reel 

de ces messages ; cette entite intermediaire : 

• pallie 1 ■ indisponibilite temporaire du 
destinataire, 

• est congue pour etre sollicitee plus 
15 frequemment que le destinataire et joue le 

role d' interface regroupant les messages et 
evitant la sollicitation systematique du 
destinataire. 

L'emetteur et/ou le destinataire ont interet k 
20 l'arrivee des informations a destination. Les acteurs 
intermediaires doivent done etre des relais surs de 
cette information. Plusieurs cas sont notamment 
possibles : 

• les acteurs intermediaires ont egalement 
25 inter§t a l'arrivee des informations a 

destination. C'est le cas par exemple 
lorsqu'il s'agit d'un commergant dans une 
transaction financiere faisant intervenir un 
client (acteur expediteur) et le systeme de 
30 gestion du moyen de paiement (acteur 

destinataire) , 

• 1' expediteur et/ou le destinataire font 
confiance. aux acteurs intermediaires pour 
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1' operation de relayage (mais pas 
necessairement pour 1 ' authenticity de 
l'origine des informations), 

• les acteurs expediteurs et destinataire font 
5 totalement confiance aux acteurs 

intermediaires (tiers de confiance) , 

• les acteurs expediteur et destinataire ne 
font pas du tout confiance aux acteurs 
intermediaires, et des moyens de non- 
10 repudiation a 1' emission et a la reception 

sont mis en place. 

De fagon precise, 1 ' invention a pour objet un 
procede de realisation d'une transaction electronique a 
15 travers un r£seau de communication reliant une 
pluralite d'entites, ce procede etant caracterise en ce 
qu'il comprend les operations suivantes : 

a)une premiere entite elabore un premier message, 
rassemblant les donn^es de la transaction et 
20 calcule un premier cryptogramme de ce premier 

message en utilisant un premier systeme.de cles 
qu'elle partage avec une derniere (n l6tne ) 
entite ; la premiere entite associe ensuite a 
ce premier cryptogramme un deuxieme message et 
25 calcule un deuxieme cryptogramme de 1' ensemble 

en utilisant un deuxieme systeme de cles 
qu'elle partage avec 1 ' avant-derniere (n-l) l6me 
entite ; et ainsi de suite ; la premiere entite 
associe au (n-2) i6me cryptogramme precedemment 
30 obtenu un (n-l) i6n * e message et calcule un 

(n-l) 1 ^ 16 cryptogramme de 1' ensemble en 
utilisant un (n-l) ldme systeme de cles qu'elle 
partage avec la deuxieme entite ; la premiere 
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entite transmet le dernier cryptogramme calcule 
a travers le reseau de communication ; 
b)la deuxieme entite regoit ce dernier 
cryptogramme, utilise le systeme de cles 
5 approprie pour extraire du (n-l) 1Gme 

cryptogramme le (n-l) 1 ^ 6 message qu'il 
contient, et transmet le (n-2) 1Grne cryptogramme 
restant a la troisieme entite ; et ainsi de 
suite ; la n ieme entite regoit le premier 
10 cryptogramme et utilise le systeme de cles 

approprie pour extraire le premier message 
qu'il contient. 

Dans cette definition, la "premiere entite" n'est 
15 pas necessairement 1' entite source du message mais elle 
peut l'itre. De meme, la "derniere entite" n'est pas 
necessairement 1' entite destinataire in fine du message 
mais elle peut l'etre. Ainsi, dans le cas particulier 
precedent, le reseau de communication comprend 
20 uniquement des entitds partageant un systeme de cles 
avec une premiere entite, la transaction s'effectuant 
alors entre la premiere entite, qui est la source du 
message et la derniere, qui est le destinataire du 
message. 

25 L ' encapsulation est alors totale a la source et la 

decapsulation progressive jusqu'au destinataire. 

Dans une variante de mise en oeuvre, 
1 ' encapsulation est partagee (ou repartie) . Dans ce 
cas, le reseau de communication comprend un premier 

30 groupe d'entites constitue d'une premiere entite et de 
(i-1) autres partageant chacune un systeme de cles avec 
ladite premiere entite, et un deuxieme groupe d'entites 
constitue d'une premiere entite qui est la derniere 
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entite du premier groupe a savoir 1* entite i, et de 
• (n-i) autres. L'entite i partage un systeme de cles 
avec chacune de ses (n-i) entites suivantes . Ce procede 
comprend deux phases successives : 
5 - une premiere phase dans laquelle le message elabor4 
par la premiere entite du premier groupe est 
transmis a la i^ me entite du premier groupe 
conf ormement aux operations a) et b) definies plus 
haut , 

10 - une seconde phase dans laquelle le message extrait 
par la premiere entite du second groupe est transmis 
a la derniere entite du second groupe conformement 
auxdites operations a) et b) . 

15 Dans un cas general, on peut combiner les modes de 

mise en oeuvre qui viennent d'etre def inis . Ainsi, le 
reseau de communications peut comprendre un premier 
groupe d' entites constitue d'une premiere entite et de 
(i-1) autres partageant un systeme de cles avec ladite 

20 premiere entite, un deuxieme groupe d' entites 
constitue d'une premiere entite, qui est la derniere 
entite du premier groupe et (j-i+1) autres partageant 
un systeme de cles avec ladite premiere entite du 
deuxieme groupe, un troisieme groupe d' entites 

25 constitue d'une premiere entite qui est la derniere 
entite du deuxieme groupe et de (n-j) autres, les 
(n-j+1) entites de ce troisieme groupe partageant un 
systeme de cles avec la premiere entite du premier 
groupe, ce procede etant caracterise en ce que : 

30 - la premiere entite du premier groupe effectue 

les operations a) definies plus haut, avec les 
systemes de cles qu'elle a en commun avec 
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chacune des autres entites du premier et du 
troisieme groupe, 

- les entites du premier groupe traitent les 
cryptogrammes qu'elles regoivent conf ormement 

5 aux operations b) definies plus haut, 

- la premiere entite du deuxieme groupe effectue 
les operations a) avec les systemes de cles 
qu'elle a en commun avec chacune des autres 
entites du deuxieme groupe, 

10 — les entites du deuxieme groupe traitent les 

cryptogrammes qu'elles regoivent . conf ormement . 
aux operations b) definies plus haut, 

- les entites du troisieme groupe traitent les 
cryptogrammes qu'elles regoivent conf ormement 

15 aux operations b) . 

La presente invention a egalement pour objet une 
application de ce procede au paiement par porte-monnaie 
61ectronique . 

20 Description detaillee de modes de mise en oeuvre 

L ' authenticity des donnees est obtenue par des 
techniques mettant en oeuvre des mecanismes de 
chiffrement, d ' authentif ication ou de signature. 

Le terme "signature" utilise dans la suite designe 

25 des cryptogrammes obtenus aussi bien au moyen de 
mecanismes de signature bases sur des algorithmes a cle 
publique (avec recouvrement ou non du message) que ceux 
bases sur des algorithmes a cle secrete ("MAC", ou 
"Message Authentif ication Code" en anglais) . 

30 Les notations utilisees dans la suite sont les 

suivantes : 
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m i:j : message determine par 1' entite i et 
destine a l'entite j. Un message determine par 
une entite i pourra tr£s bien etre vide ou 
identique a un message determine par une autre 
entite j (m i#1 =mj,i pour i^j et 1 donne) , ou 
encore un cryptogramme. Dans le cas du paiement 
par carte PME (Porte-Monaie Electronique) , m i# j 
designera par exemple les donnees de la 
transaction (y compris les elements anti- 
re jeux) . 

Kj.,j(m) : cryptogramme du message m, calcule par 
i a I'aide du systeme de cles K i:j . L ' algorithme 
de calcul de ce cryptogramme depend de 
1 ' application. 11 n'est fait aucune restriction 
sur 1' algorithme utilise pour le calcul de ce 
cryptogramme. II pourra s'agir par exemple : 

1. d'un algorithme a cle publique (RSA> DSA, 
etc.) ou d'un algorithme a cle secrete 
(MAC-DES , etc. . . ) , 

2. d'un algorithme de signature, ou d'un 
algorithme de chiffrement. Dans le cas 
d 1 une signature, on suppose implicitement 
que le cryptogramme utilise permet le 
recouvrement d'un message. Cette 
hypothese n'est pas restrictive car. on 
peut toujours remplacer Kij (m) par 
K'ij (m) =Kij (m) | |m, ou M designe la 
concatenation de messages . 

La notation Kij(X,m) est consideree comme 
equivalente a Kij(x||m), dans 1' hypothese ou les 
deux parties en presence ont convenu de la 
longueur de X. 
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• Dans la suite, le message X sera lui-meme un 
cryptogramme K(m' ). On appellera 

"encapsulation" le fait d'utiliser ainsi un 
cryptogramme X=K'(m) comme message. 
5 • Lorsque le cryptogramme Kij(X,m) est destine a 

preserver l'integrite du message, mais que les 
canaux qu'il doit emprunter sont controles par 
des entites qui ont interet au transfert de X, 
on pourra avoir par exemple (K(m' ) ,m) =K(nT ) 
10 IlK'ijdn)/ aucune restriction n'etant faite sur 

1 ' algori thine de calcul des cryptogrammes . 

Quatre exemples de mise en oeuvre de ce proc£d6 
vont etre decrits 

15 

Exemple 1 : Encapsulation totale a la source et 
decapsulation progressive 

La source elabore un message mi, n rassemblant les 
donnees de la- transaction et calcule un premier 

20 cryptogramme Ki, n (mi, n ) de ce premier message en 
utilisant un premier systeme de cles Ki, n qu'elle 
partage avec la derniere n ^ me entite ; la source 
associe ensuite a ce premier cryptogramme un deuxieme 
message mi, n -i et calcule un deuxieme cryptogramme 

25 K^n-i (Ki, n (mi; n ) , mi^-x) de 1'ensemble en utilisant un 
deuxieme systeme de cles Ki >n _i qu'elle partage avec une 
avant -derniere (n-l) ieme entite, et ainsi de suite, 
... ; la premiere entite associe au (n-2) ieme 
cryptogramme precedemment obtenu un (n-l) ieme message 

30 m 1>2 et calcule un (n-l) 1 * 1 " 6 cryptogramme de 1' ensemble 
en utilisant un (n-l) i6me systeme de cles K 1/2 qu'elle 
partage avec une deuxieme entite, et la source transmet 
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le dernier cryptogramme calcule a travers le reseau de 
" communication vers l'entite 2. 

On peut schematiser cette premiere phase par le 
diagramme suivant ou la fleche orientee a droite 
5 symbolise le transfert & ' information entre -I'entite 1 
(a gauche) et I'entite 2 (a droite) : 

Entite" I Entite" 2 

K L2 (K 1.3 (K 1.4< (K l.n-) (K l.n (m l.n ) - m l.n>l ) m l,4 >■ m 1.3>' m l,3> ; 

L'entite 2, qui regoit le message de I'entite 1, 
10 realise une decapsulation partielle de ce message a 
I'aide du systeme de cles Ki, 2 ; elle verifie (et 
conserve eventuellement ) le cryptogramme qui lui est 
destine (en l'occurrence la signature du message m 1/2 ) , 
puis transmet a l'entite 3 le reste du message. On a 
15 done, avec les memes conventions, le schema suivant : 



Entite 2 Entite 3 



K L3 (K 1.4^ K |,n-l (K Ln fm l.n ) ' m Kn-l> m M>' m l,3> 



Ce procede est reitere de proche en proche jusqu'a 
20 l'entite n. Pour . les entites i et i+1 intermediaires , 
on a : 

Eniiidi Entice i-t-J 

K l,i+l< K l,i42< < K Ln-l. (K l.n (m U ) >' m l.n-J ) } 

Enfin, 1 ' avant -dernier e entite (n-1) transmet au 

destinataire (n) le dernier cryptogramme K 1/n (m lfn ) et 

25 celui-ci, a I'aide du systeme de cles K i>n/ recupere le 
message qui lui etait destine : 

Eniite n-l Entite n 



WO 01/06702 

Exemple 2 : Encapsulation partagee 

L'entite 1 partage un systeme de cles avec 
seulement une partie des entites se trouvant sur le 
chemin de communication, a savoir les entites 2, i 
5 qui forment un premier groupe. L'entite i, quant a 
elle, partage un systeme de cles avec chacune des 
entites suivantes : i+1, i+2, . n et forme avec 

elles un second groupe. 

L'entite 1 elabore un message pour la derniere 
10 entity i du premier groupe, soit itii.i et encapsule ce 
message avec les systemes de cles qu ' elle . partage avec 
chacune des entites du premier groupe, et transmet le 
tout a l'entite 2 : 

Entile* I Entile 2 

K 1,2 (K 1.3 (K 1.4 ( < K l.i-l (K l.i (m l.i ) * m l.i-> ) m 1.4>' w l.3>- m l,2> ) 

.15 Dans ce premier groupe, les entites decapsulent 

progressivement les cryptogrammes jusqu'a ce que 
1 ' avant-derniere entite i-1 transmette a la derniere 
entite i, le cryptogramme du message qui lui est 
destine : 

Entite i-1 Entire* i 

K l.i< m l.i> 

20 

L'entite i procede alors a une encapsulation de la 

totalite des messages m i# i + i f m i<i+ 2/ .... mi , n destines 

aux entites du second groupe. Le contenu de ces 

messages peut dependre du cryptogramme regu. Le 

25 resultat de cette encapsulation est ensuite transmis 

selon le procede deja decrit, d'abord de l'entite i a 

l'entite i+1 : 

Entile i Entitdi+I 
K i.i+1 < K i.t+2( K i.i+3(". : '<Ki.n- 1 ( K i.n( m i.n>- m i.n- 1 ) m i,i+3>- m i.i+2)' m i.i+ 1 ) 
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et ainsi de suite a travers les entites du second 
• groupe jusqu'a I'avant derniere, n-1, qui transmet le 
dernier cryptogramme au destinataire n. 

5 Exemple 3 : Cas general 

L'entite 1 partage un systeme de cles avec une 

partie des entites se trouvant sur le chernin de 

communication, partie que pour la simplicite de 

1* expose, on supposera etre 2, i, j + 1, . n. 
10 L'entite 1 realise done une encapsulation partielle 
comme le montre le schema suivant :.. 

Entite I Entile 2 

Kj,2< K] j(K L j +1 ( K| n (m l n ) m| j +1 ).mj j) mi 2 ) 



Chaque entite intermediaire decapsule le message 
15 qu'elle regoit a l'aide du systeme de cles approprie, 
et ceci jusqu'a l'entite i : 

Entite" i-l Entity i 

K I .i< K I j+ 1 < K Kn( m 1 t n> m I ,j+ 1 ).m I j) 



Tout acteur (ici i uniquement ) , qui , apres avoir 
extrait le message qui lui etait destine, obtient un 

20 reste de message destine a un acteur non adjacent sur 
le parcours, le reencapsule a destination de l'entite 
adjacente et (eventuellement) des suivantes . 

Dans cet exemple, l'entite i partage un systeme de 
cles avec chacune des entites suivantes : i + 1, i+2, 

25 j. L'entite i regoit le message de i-l, realise 

une decapsulation partielle, puis reencapsule le 
message obtenu a destination de i+1, i+2, j. 

EntiteM Entite i+1 

K u+l( K i.j< K l.j+l< K l,n( m l,n) m lo+|)-Pi.j) m i,i+l> 

► 



WO 01/06702 PCT/FR00/02075 



20 



. 16 

Chaque entite intermediaire decapsule le message 
qu'elle regoit a I'aide du systeme de cles et ceci 
jusqu'a 1' entite j : 

Entitdj-1 Entity j 

K i.j< K I j+ 1< : - K I .n( ,n I ,n) m I j+ 1 )-™ij) 

. ^ 

L • entite j decapsule a nouveau. Le message 
decapsule est ensuite transmis de proche en proche de 
j + 1 a n : 

Entite j Entite j+1 

K lj+|( K l.n< m l,n) m Ij+l> 



Entit6n-1 Entite n 

K l.n< m l.n> 

, ^ 

10 

On peut illustrer, dans le cadre de cet exemple, 
le cas particulier decrit precedemment dans lequel 
certains cryptogrammes K i# j{...) sont de la forme 
K i( j (X, m) =X, Ki, j (m) . L'entite i n'encapsule pas les 
15 messages a destination de i+1, i+2, . j, parce que 
les canaux sont consideres comme surs et les entites 
impliquees n'ont pas interet a falsifier les messages. 

Entity 1 Entity i + ! 

K i^< m i.M>' K M^2^ m U + 2 ) V- K i.i (m i.i ) - K Li+i UK Kn< m l,n ) m l.j+l> , 



Chaque entite intermediaire regoit et controle le 
message qui lui est destine a I'aide de son systeme de 
cles, ceci jusqu'a l'entite j. 



25 



Entitd j-! Entite j 

K : : (m : : ), K, .M...K' (m. ) m, . ,) 
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L'entite j regoit et controle le message qui lui 
est destine. Le message est ensuite transmis de proche 
en proche de j+1 a n : 

Entity j Entire j+1 

K ».i + 1 ( - K Ln (m Kn ) -- ni l,i + l ) ) 

Entite n-l Entity n 



K l.n< m l.n> 



4 



Exemple 4 : cas du porte-monnaie electronique (PME) 

Dans cet exemple, les entites (ou les acteurs) 
10 sont : . 

• des cartes PME notees A, 

• des points de service P, aptes a recevoir les 
cartes, 

• des concentrateurs de points de service et leur 
15 module de securite MS, 

• un emetteur E charge d'emettre les cartes PME 
et charge d'acquerir la monnaie electronique. 

Le reseau de communication relie les points de 
service aux concentrateurs et ces concentrateurs a 
2 0 1' emetteur. 

Par hypothese : 

• A et MS partagent un systeme de cles K A<M , 

• A et E partagent un systeme de cles K A(E , 

• A et P partagent un systeme de cles K A ,p. 



Les notations employees sont. les suivantes : 

• K(m) cryptogramme du message m obtenu en 
utilisant le systeme de cles K, 

• NT A : numero de transaction du PME A, 
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• NT MS : numero de transaction de MS, 

• IDpme. : identifiant dii PME, 

• ID MS : identifiant de MS. 

Apres l'etape prealable d'echange de cles, A, Pet 

MS echangent des informations relatives au numero de la 

transaction NT A et a 1 1 identifiant du PME : 

a p MS 

A incnfmente son 
compteur: 

NT A :=NT A +l NT A .ID PME NT A ,1D PME 



Puis le module de securite communique a l'entite P 
10 son numero de transaction NTms, apres 1* avoir 
increments, ainsi que son identity ; l'identite P 
retransmet ces informations a l'entite A. 

A P MS 



( K A.Mt NT A' NT MS' 1P MS> ( K A.M< N V N W ID MS> 



MS incremente 
son compteur 
NT MS =NT MS +I 



15 La carte A verifie les donnees qu'elle a regues et 

initialise a zero le cumul (cumul=0) . 

Commence alors le cycle de consommation d 1 unites 
de service. Les operations mises en oeuvre sont alors 
les suivantes : 
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A P 
^ ordre de debit de montant ni 

cumul := cumul+m 

calcul de la micro-transaction 



K A.P< M - K A.M< M - K A.E< M '», 
ou M=Cm.cumul.NT A> NT MS ,ID MS ) 
et M=(cumul.NT A .NT MS .ID MS ) 



P verifie les donndes qui lui ont ete 
trans mi ses 
cumul :=cumul+m 

C'est ensuite le retour au debut du cycle si 
1 ' utilisation du service n'est pas terminee. En fin de 
session de service, on a l'ultime echange suivant : 

p MS E 
5 P ne transmet a MS 

K A M (M.K A E (M')) ^ K A E (M') ^ 

que la derniere signature ^ ) 
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REVINDICATIONS 

1. Procede de realisation d'une transaction 
electronique,. a travers un reseau de communication 
5 reliant une pluralite d'entites, caracterise en ce 
qu'il comprend les operations suivantes : 

a) une premiere entite elabore un premier message 
rassemblant les donnees de la transaction et 
calcule un premier cryptogramme de ce premier 

10 message en utilisant un. premier systeme de cles 

qu'elle partage avec une derniere (n l6me ) 
entite ; la premiere entite associe ensuite a 
ce premier cryptogramme un deuxieme message et 
calcule un deuxieme cryptogramme de 1' ensemble 

15 en utilisant un deuxieme systeme de cles 

qu'elle partage avec une avant-derniere 
(n-l) i6me entite ; et ainsi de suite ; la 
premiere entite associe au (n-2) ieme 
cryptogramme precedemment obtenu un (n-l) 1 ^ 6 

20 message et calcule un (n-l) ieme cryptogramme de 

1' ensemble en utilisant un (n-l)^ me systeme de 
cles qu'elle partage avec une deuxieme entite ; 
la premiere entite transmet le dernier 
cryptogramme calculi a travers le reseau de 

25 communication, 

b) la deuxieme entite regoit ce dernier 
cryptogramme, utilise le systeme de cles 
approprie pour extraire du (n-l) l6me 
cryptogramme le (n-l) ldme message qu'il 

30 contient, et transmet le (n-2) x * me cryptogramme 

restant a la troisieme entity ; et ainsi de 
suite ; la n i6me entite regoit le premier 
cryptogramme et utilise le systeme de cles 
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approprie pour extraire le premier message 
qu'il contient. 

2. Proeede selon la revendication 1, dans lequel 
5 le reseau de communication comprend uniquement des 

entites partageant une cle avec une premiere entite, la 
transaction s'effectuant alors entre la premiere 
entite, qui est la source du message et la derniere, 
qui est le destinataire du message. 

10 

3. Proeede selon la revendication 1, dans lequel 
le reseau de communication comprend un premier groupe 
d' entites constitue d'une premiere entite et de (i-1) 
autres partageant chacune un systeme de cles avec 

15 ladite premiere entite, et un deuxieme groupe d' entites 
constitue d'une premiere entite qui est la derniere 
entite du premier groupe a savoir 1' entite i et de 
(n-i) autres, 1' entite i partageant un systeme de cles 
avec chacune des (n-i) entites suivantes, ce proeede 

2 0 comprenant deux phases successives : 

- une premiere phase dans laquelle le message elabore 
par la premiere entite du premier groupe est 
transmis a la i^ me entite du premier groupe 
conf ormement aux operations a) et b) de la 

25 revendication 1, 

- une seconde phase dans laquelle le message extrait 
par la premiere entite du second groupe est transmis 
a la derniere entite du second groupe conf ormement 
aux operations a) et b) de la revendication 1. 

30 

4. Proeede selon la revendication 1, dans lequel 
le reseau de communication comprend un premier groupe 
d' entites constitue d'une premiere entite et de (i-1) 
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autres partageant chacune un systeme de cles avec 
ladite premiere entite, un deuxieme groupe d'entites 
constitue d'une premiere entite, qui est la derniere 
entite du premier groupe et (j-i+1) autres partageant 
5 chacune un systeme de cles avec ladite premiere entite 
du deuxieme groupe, un troisieme groupe d'entites 
constitue d'une premiere entite qui est la derniere 
entite du deuxieme groupe et de (n-j) autres, les 
(n-j+1) entites de ce troisieme groupe partageant 
10 chacune un systeme de cles avec la premiere entite du 
premier groupe, ce procede etant caracterise eh ce 
que : 

- la premiere entite du premier groupe effectue 
les operations a) de la revendication 1, avec 
les systemes de cles qu'elle a en commun avec 
chacune des autres entites du premier et du 
troisieme groupe, 

- les entites du premier groupe traitent les 
cryptogrammes qu'elles regoivent conformement 
aux operations b) de la revendication 1, 

- la premiere entite du deuxieme groupe effectue 
les operation a) de la revendication 1 avec les 
systemes de cles qu'elle a en commun avec 
chacune des autres entites du deuxieme groupe, 

- les entites du deuxieme groupe traitent les 
cryptogrammes qu'elles regoivent conformement 
aux operations b) de la revendication 1, 

- les entites du troisieme groupe decryptent les 
cryptogrammes qu'elles regoivent conformement 
aux operations b) de la revendication 1. 



15 



20 



25 



30 



la 



5. Procede selon la revendication 1 dans lequel, 
premiere entite i d'un groupe calcule un 
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cryptogramme des messages destines aux autres entites 
i + 1, i+2, . j du groupe, sans les encapsuler, chaque 
entite i+1, i+2, . j regoit et controle le message 
qui lui est destine a l'aide . de son systeme de cle 
5 partage avec i . 

6. Procede selon la revendication 1, dans lequel 
la transaction electronique est un paiement, les 
entites etant constitutes par des cartes (A) , des 

10 points de service (P) aptes a recevoir lesdites cartes 
(A) , des concentrateurs de points de service equipes 
d'un module de s^curite (MS) et relies aux points de 
service et un emetteur (E) charge d'emettre des cartes 
de type paiement Electronique et charge d'acquerir la 

15 monnaie electronique, le reseau de communication 
reliant des points de service (P) aux concentrateurs et 
ces concentrateurs a 1' emetteur, chaque carte (A) 
partageant avec un module de securite (MS) un systeme 
de cles K A , M , chaque carte A partageant egalement avec 

20 1' emetteur (E) un systeme de cles K A/E/ chaque carte (A) 
partageant avec un point de service (P) un systeme de 
cles K A(P . 

7. Procede selon la revendication 6, dans lequel : 
25 a) la carte (A) : 

- calcule un message (M') a destination de 
1' emetteur (E) , ce message comprenant le cumul 

des montants payes, le numero (NT A ) de la 

transaction, le numero de transaction (NT MS ) du 

30 module de securite (MS) auquel le point de 

service est relie, et - 1 ' identif iant (ID MS ) de ce 
module de s^curit^ 



WO 01/06702 PCT/FR00/02075 




24 

- calcule un premier cryptogramme K A/E (M') de ce 
message en utilisant le systeme de cles K A , E 
qu'elle partage avec l'emetteur, 

- ajoute a ce premier cryptogramme ' un message (M) 
5 contenant le montant de la transaction (m) , le 

cumul, les numeros (NT A , NT MS ) et 1 ' identif iant 
(ID MS ), 

- encapsule le resultat dans un deuxieme 
cryptogramme K A , M (M, K A(E (M')) utilisant le 

10 systeme de cles K A#M qu'elle partage avec le 

module de securite (MS) , 

- ajoute a ce deuxieme cryptogramme, le message 
M, 

- encapsule le resultat dans un troisieme 
15 cryptogramme K s (M, K A , M (M, K A/E (M ' ) ) , en utilisant 

le systeme de cles K A , P , 

- transmet ce troisieme cryptogramme au point de 
service (P) , 

b) le point de service (P) decapsule le cryptogramme 
20 regu a l'aide du systeme de cles K A , P , recupere et 

. verifie le message M, et enregistre K A , M (M, K A , E (M' ) ) , 
le procede etant repute si 1 ' utilisation du service 
n'est pas terminee, 

c) en fin d ' utilisation du service le point de service 
25 (P) retransmet le dernier K AfM (M, K A , E (M' ) ) au module 

de securite (MS) , 

d) le module de securite (MS) decapsule le cryptogramme 
recpu a l'aide du systeme de cles K A , M / recupere le 
message (M) et transmet K A , E (M') a l'emetteur, 

30 e) l'emetteur (E) decapsule le cryptogramme regu a 
l'aide du systeme de cles K A , E et extrait le message 
(M') qui lui etait destine. 
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